2FA di Poor man. Dovrei usare password composite e quanto conta l'entropia?

Naviga le tue risposte
1

Uso un gestore di password, modifico la lunghezza delle mie password occasionalmente e sono tutte uniche e casuali, ma penso che cosa succederebbe se il database PW trapelasse (ad esempio, il software dannoso esagera i contenuti)? Non tutti i siti supportano 2FA, quindi come posso aumentare la sicurezza?

Mi è venuta un'idea. Ho deciso di digitare una parola all'inizio prima di eseguire l'autotype della lunga password casuale. La parola è sempre la stessa per ogni account in questa categoria "importante" e la parola esiste solo nella mia testa. L'idea è che se il database perde, nessuno può accedere ai miei account più importanti perché non conoscono la parola.

Questa è una sorta di 2FA senza bisogno di supporto per il sito web. Se si dovessero verificare più credenziali importanti, sarebbe ovvio cosa stavo facendo e si potrebbe supporre che ci fossero altre password che uso con questa parola all'inizio. Presumo che questo diminuisca l'entropia. In quali scenari il mio sistema sarebbe meno sicuro, se esiste? La conoscenza della mia parola segreta da una credenziale trapelata (ad esempio da una violazione del sito Web) può aiutarti a decifrare un altro dei miei account oltre l'ovvio vantaggio di conoscere ad es. 5 dei miei 25 caratteri? Sto meglio a non farlo per qualche motivo crittografico o è una precauzione extra ragionevole contro una perdita di database?

Dopo aver visto alcune risposte, in modo più conciso, la conoscenza dell'esistenza / contenuto / posizione di [staticWord] può aiutarti a decifrare "[longRandomString] [staticWord]" o è sempre strong almeno quanto [longRandomString]?

Solo riflettendo su questo, c'è una possibilità che un attaccante non sappia di aver infranto una password se è una stringa casuale, finché non viene testata per vedere se funziona. Considerando che si potrebbe supporre che sia incrinato se decifrate una stringa dall'aspetto casuale e notato una parola reale alla fine di esso. Non so se questo potrebbe / potrebbe accadere. Penso che la mia staticWord dovrebbe essere breve e casuale.

    
posta Ian 03.08.2016 - 21:11
fonte

3 risposte

1

Ciò che non protegge da

Non si specifica realmente quale database potrebbe perdere. Se il database dell'applicazione web perde, o se la tua password completa perde - ad esempio tramite phishing - il tuo schema ovviamente non aiuterà affatto, perché non è vero 2FA.

Ciò che protegge da

D'altra parte, se il database del gestore di password - e la password corrispondente - perdono, questo aiuterà in determinate situazioni.

Se ipotizziamo che un utente malintenzionato sappia che stai usando questo schema, ora stai essenzialmente utilizzando la stessa password su tutti i siti web. La tua sicurezza ora dipende dalla sicurezza del sito Web più debole che hai registrato e dalla forza della tua password aggiuntiva.

Cose da prendere in considerazione

La tua seconda password dovrebbe essere ragionevolmente strong, altrimenti lo schema è inutile.

Ovviamente non dovrebbe essere la stessa password che usi per il tuo gestore di password.

Raccomando anche di aggiungere questa password dopo la password memorizzata nel gestore di password. Alcuni siti web potrebbero tagliare la tua password dopo i caratteri X, e se X è piccolo, potresti finire con questa password in più, che renderà più probabile la perdita e ridurrà la tua sicurezza generale. D'altra parte, se la tua password aggiuntiva è troncata, la tua parte posteriore da cui hai iniziato (nessuna sicurezza aggiuntiva, ma anche nessuna debolezza aggiuntiva).

Conclusione

Il tuo schema potrebbe aggiungere una piccola quantità di sicurezza aggiuntiva nel caso in cui i dati del tuo gestore di password dovessero perdere, anche se lo svantaggio di usabilità aggiunto - dover digitare la password aggiuntiva - non varrebbe la pena per me. Al massimo, utilizzerei lo schema per account estremamente importanti.

Un approccio più ragionevole sarebbe avere due diversi database di gestione password: uno per le password meno importanti che è possibile utilizzare anche su sistemi che potrebbero essere più facilmente compromessi e uno per password importanti, che verranno utilizzate solo su sistemi che ritieni sicuri. Questo dovrebbe raggiungere lo stesso obiettivo che vuoi ottenere in modo più pulito.

    
risposta data 03.08.2016 - 21:55
fonte
0

Si sta utilizzando un gestore di password e si desidera proteggere dalla perdita del database dei gestori di password.

Puoi dare un'occhiata al gestore password di mooltipass. link Questo è un dispositivo fisico, che memorizza le tue password. Questo ti proteggerà dalla perdita del "database completo delle password".

Ovviamente usi ancora le password. Cioè non protegge da:

  1. Sniffing / keylogging / shoulder surfing della password quando viene inserita. Ciò comprometterà una delle tue password.

  2. Perdita del database utente dei servizi. Che comprometterà l'hash di una delle tue password.

Quindi ci sono alcuni scenari che ti protegge da like:

  • rubare il tuo database delle password locale da qualche trojan.
risposta data 03.08.2016 - 22:39
fonte
-2

utilizza la password dimenticata in un sito Web casualmente la password e se perdi il tuo DB, la password dimenticata entra in gioco.

ma perché non utilizzare una soluzione cloud per il tuo gestore di password come dashline. tutti supportato fino al cloud; implementare anche due fattori nel cloud.

    
risposta data 03.08.2016 - 21:14
fonte

Leggi altre domande sui tag

Come accostarti a escludere che i precedenti sviluppatori stiano facendo backdoor sul mio sito web? Verifica se PXN è abilitato?